东风破的空间前段时间局域网里新增的服务器,最近偶然发现任务管理器里有三个进程:csrss.exe、winlogon.exe、logonUI.exe,一直循环的运行-结束-运行-结束......
很明显,这仨货是用户登录相关的进程,难不成有人在猜解密码?
赶紧去查看安全日志,发现相应的一直在记录登录-注销-登录-注销...事件。
也没多想,立刻根据日志记录的IP找到对应的电脑,彻底检查了一番。奇怪的是,没有任何木马病毒和可疑的进程会发起登录事件。于是,继续返回去看日志。汗,刚没注意,居然都是匿名登录:
看来,很有可能跟服务器以Guest权限共享出去的打印机和文件夹有关了。既然木啥安全隐患,就不测试了。不过还是网上找了下前辈的经验:
查看 事件查看器->安全性 时,发现频繁出现大量的ANONYMOUS LOGON登陆/注销日志,这种行为,开始担心是有人尝试匿名登陆服务器(攻击行为),到网上搜了一下,大部份的内容是说可能受攻击了,经过分析和测验,发现是因为服务器有 文件和打印机共享,当内网用户,访问这些共享的内容时,就会记录以上信息,希望能帮助到遇到同样问题的朋友。 解决方法: 打开windows防火墙->设置->例外->取消掉“文件和打印机共享”即可。但负面结果是,若在内网有共享的资源,将不能用匿名和guest访问。 参考:http://www.cnblogs.com/liyongfisher/archive/2009/06/03/server01.html |
这问题视环境而定,如果服务器暴漏在公网或有重要数据的话,要多加谨慎了。
未经允许请勿转载: 东风破的空间 » 关于csrss.exe winlogon.exe logonUI.exe循环结束运行的问题